第9章--锐捷园区网安全功能的规划和部署

第1页第9章锐捷园区网安全功能的规划和部署第2页前言本PPT主要介绍了园区网中存在的各种网络安全漏洞，简要地讲解并分析了其原理，有针对性地对基本安全部署和按需安全部署进行了说明，还提供了安全防范的规划和措施。第3页课程目标通过本课程的学习，您可以掌握如下知识点和相关配置：了解网络安全漏洞，以及目前常见的各种网络攻击简要了解各种网络攻击的原理，掌握有针对性的防范措施能够在交换机上进行配置以防范常见的网络攻击第4页提纲常见的网络安全漏洞基本安全部署按需安全部署安全防范应用案例第5页常见的网络安全漏洞物理层线路的安全、物理设备的安全、机房的安全；链路层MAC地址欺骗/泛洪、ARP欺骗、STP攻击、DHCP攻击；网络层IP地址扫描/欺骗/攻击；传输层面向连接和非连接的攻击，也就是端口扫描；应用层Web服务、电子邮件、FTP，病毒对系统的攻击；第6页提纲常见的网络安全漏洞基本安全部署按需安全部署安全防范应用案例第7页基本安全部署在园区网的实施和部署中，根据各自的不同情况和实际需要，可以有多种的安全部署方案。锐捷网络推荐采用的基本安全部署有以下几种：扩展ACL过滤；STP的BPDU报文过滤和防卫；三层设备的IP防扫描；防ARP欺骗；第8页基本安全部署扩展ACL过滤STP的BPDU报文过滤和防卫三层设备的IP防扫描防ARP欺骗第9页扩展ACL过滤由于很多的病毒是根据操作系统和软件的漏洞，通过特定TCP/UDP端口进行感染和传播的，比如冲击波、震荡波、SQL蠕虫等就是通过特定的TCP/UDP端口进行传播的。所以，可以通过扩展ACL对常用的病毒端口进行过滤。……病毒病毒有漏洞，呵呵！感染他，成了!×再继续！看看还有没有倒霉蛋！第10页交换机扩展ACL配置步骤：创建一条扩展ACL；对常见的病毒端口作deny处理；常见的病毒端口有：TCP：135-139/445/593/4444/5554/9995/9996UDP：135-139/445/593/1434/4444/5554/9995/9996在相关接口的in方向上，应用这条ACL。注意事项：任意一条扩展ACL的最后都默认隐含了一条denyipanyany的ACE表项。如果您不想让该隐含ACE起作用，则您必须手工设置一条permitipanyany的ACE表项以让不符合其它所有ACE匹配条件的报文通过；在有些应用中可能会用到上述的一些端口，比如TCP/UDP的137、138，此时就要将这些端口从扩展ACL中去掉；第11页路由器扩展ACL配置步骤：直接创建包含对下列常见病毒端口deny的扩展ACL；常见的病毒端口有：TCP：135-139/445/593/4444/5554/9995/9996UDP：135-139/445/593/1434/4444/5554/9995/9996在相关接口的in方向上，应用这条ACL；路由器与交换机的区别：交换机的扩展ACL可用字符串+数字表示，而路由器的扩展ACL只能用100-199的数字表示；交换机是在一个ACL配置模式下进行deny/permit的申明，而路由器是在全局配置模式下对每个端口对deny/permit的申明。第12页基本安全部署扩展ACL过滤STP的BPDU报文过滤和防卫三层设备的IP防扫描防ARP欺骗第13页生成树的作用和问题生成树的作用避免链路环路产生的广播风暴；提供链路冗余备份；生成树的问题产生大量的BPDU报文；端口状态的变化可能导致网络拓扑结构的变化；恶意的攻击；第14页STP的报文结构第15页STP的攻击通过发送虚假的BPDU报文，扰乱网络拓扑和链路架构，充当网络根节点，以获取信息。我的优先级最高，选我作根桥吧！VLAN1根桥VLAN2根桥VLAN1根桥VLAN2根桥第16页防止STP攻击防范措施：在接入层交换机直连用户的端口上，启用BPDUGuard、BPDUFilter功能，禁止网络中直连用户的端口收到BPDU报文，从而防范用户发送非法BPDU报文；同时，为了减少端口等待Forwarding的时间，可以在接入层交换机的Access口上启用portfast功能；配置：Switch#configureterminalSwitch(config)#spanning-treeSwitch(config)#interfacerangefastEthernet0/1-24Switch(config-if-range)#spanning-treebpdufilterenabledSwitch(config-if-range)#spanning-treebpduguardenabledSwitch(config-if-range)#spanning-treeportfast第17页基本安全部署扩展ACL过滤STP的BPDU报文过滤和防卫三层设备的IP防扫描防ARP欺骗第18页IP扫描众所周知，许多黑客攻击、网络病毒入侵都是从扫描网络内活动的主机开始的，大量的扫描报文也急剧占用了网络带宽，导致正常的网络通讯无法进行；互联网上扫描的工具软件多如牛毛；第19页IP扫描工具第20页IP扫描的分类目的IP地址不断变化的扫描；目的IP地址不存在的扫描；IP变化的扫描，消耗网络带宽，增加交换机负担，危害最大！IP不存在的扫描IP变化的扫描尝试连接，消耗CPU资源危害较小。第21页IP防扫描防范措施：在全局配置模式下，设置监控攻击主机的最大数目；在三层交换机的端口上，对扫描攻击的报文阀值进行设置；对非法攻击的主机进行隔离时间的设置；配置：Switch#configureterminalSwitch(config)#system-guarddetect-maxnum250Switch(config)#interfacefastEthernet0/1Switch(config-if)#system-guardscan-ip-attack-packets50Switch(config-if)#system-guardsame-ip-attack-packets100Switch(config-if)#system-guardisolate-time300第22页基本安全部署扩展ACL过滤STP的BPDU报文过滤和防卫三层设备的IP防扫描防ARP欺骗第23页ARP协议按照RFC的规定，PC在发ARP响应时，不需要一定要先收到ARP请求报文，因此，局域网中任何一台PC都可以向网络内其它PC通告：自己就是PCA和MACA的对应关系，这就给攻击者带来可乘之机！由于ARP协议的缺陷，导致攻击者很容易发送虚假的ARP请求报文和响应报文，来扰乱局域网中被攻击主机的ARP表，从而使得网络中的合法主机无法正常上网或通讯中断。第24页ARP欺骗PCB攻击者：发送ARP欺骗192.168.10.1MACA192.168.10.3MACC192.168.10.2MACB发送ARP响应，告诉：192.168.10.1对应的MAC是MACXARP表刷新，192.168.10.1对应的是MACX正常的网络访问数据包，、QQ、FTP网关找不到正确的网关，所有访问外网的数据都无法得到回应第25页防ARP欺骗防范措施：使用Anti-ARP-Spoofing命令在端口上检测网关的IP地址，从而保证交换机下联端口的主机无法进行网关ARP欺骗；配置：Switch#configureterminalSwitch(config)#interfacerangefastEthernet0/1-24Switch(config-if-range)#Anti-ARP-Spoofingip192.168.10.1目前只在RG-S21系列交换机上实现了防ARP欺骗第26页提纲常见的网络安全漏洞基本安全部署按需安全部署安全防范应用案例第27页按需安全部署在某些网络环境中还会用到DHCP服务、组播等应用，这都给那些别有用心的人带来了新的机会，他们可以通过各种方式对网络进行攻击，以扰乱合法用户的正常上网和业务使用，还可能对网络设备进行攻击。下面分别介绍几种防范的方式：防DHCP攻击；端口安全；组播源端口检查；授权IP管理；第28页按需安全部署防DHCP攻击端口安全组播源端口检查授权IP管理第29页恶意DHCP请求DHCPServerPCClient攻击者不断变化MAC地址DenialofServiceIPPool被耗尽DHCPDiscover(广播包)XDHCP可以分配的IP数量DHCPOffer(单播包)XDHCP可以分配的IP数量DHCPRequest(广播包)XDHCP可以分配的IP数量DHCPACK(单播包)XDHCP可以分配的IP数量第30页伪装DHCPServerDHCPServerPCClient攻击者：伪装为DHCPServerClient发出的DHCP请求报文非法DHCPServer响应报文Client访问某个PC的报文第31页防DHCP攻击防范措施：启用DHCPRelay，指定合法DHCPServer的IP地址；用扩展ACL对DHCP的请求报文和响应报文进行控制；配置：指定DHCPRelaySwitch#configureterminalSwitch(config)#servicedhcpSwitch(config)#iphelper-address192.168.0.250第32页防DHCP攻击用扩展ACL对DHCP的请求报文和响应报文进行控制；Switch#configureterminalSwitch(config)#ipaccess-listextendeddhcp-clientSwitch(config-ext-nacl)#denyudpanyeq67anyeq68Switch(config-ext-nacl)#permitipanyanySwitch(config-ext-nacl)#exitSwitch(config)#ipaccess-listextendeddhcp-serverSwitch(config-ext-nacl)#permitudphost192.168.0.250eq67anyeq68Switch(config-ext-nacl)#denyudpanyeq67anyeq68Switch(config-ext-nacl)#permitipanyanySwitch(config-ext-nacl)#exitSwitch(config)#interfacerangefastEthernet0/1-23Switch(config-if-range)#ipaccess-groupdhcp-clientinSwitch(config-if-range)#exitSwitch(config)#interfacefastEthernet0/24Switch(config-if)#ipaccess-groupdhcp-serverin第33页按需安全部署防DHCP攻击端口安全组播源端口检查授权IP管理第34页MAC攻击交换机攻击者MACAPCBMACBPCCMACCMACPortH1X2Y3交换机内部的MAC地址表空间很快被不存在的源MAC地址占满。没有空间学习合法的MACB，MACC单播流量在交换机内部以广播包方式在所有端口转发，非法者也能接受到这些报文MAC攻击：每秒发送成千上万个随机源MAC的报文HUB第35页端口安全端口安全，是指通过限制允许访问交换机上某个端口的MAC地址以及IP地址（可选）来实现对该端口输入的严格控制；当你为安全端口（打开了端口安全功能的端口）配置了一些安全地址后，则除了源地址为这些安全地址的报文外，这个端口将不转发其它任何报文；可以限制一个端口上能包含的安